Weiterführende Hinweise

zum Beschwerdeverfahren für Personen in der EU/dem EWR im Zusammenhang mit möglichen Verstößen gegen das US-Recht bei der Erhebung personenbezogener Daten durch US-Nachrichtendienste

Hintergrund des Beschwerdeverfahrens

Am 10. Juli 2023 hat die Europäische Kommission ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA, dem sog. EU-US Data Privacy Framework (im Folgenden „Angemessenheitsbeschluss“) angenommen1. Darin wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die innerhalb des neuen Datenschutzrahmens aus der EU an US-Unternehmen übermittelt werden.

Ein wichtiges Element, auf das sich der Angemessenheitsbeschluss stützt, ist die Executive Order 14086 on Enhancing Safeguards for United States Signals Intelligence Activities2 („E.O. 14086“), die am 7. Oktober 2022 von US-Präsident Biden unterzeichnet wurde. Die Executive Order wird von einer Verordnung des Justizministers der Vereinigten Staaten sowie von einschlägigen Richtlinien und Verfahren flankiert, die vom US Office of the Director of National Intelligence („ODNI“), d.h. dem Direktor der nationalen Nachrichtendienste, sowie von den einzelnen US-Nachrichtendiensten erlassen wurden.

Mit der E.O. 14086 wurde ein neues Beschwerdeverfahren im Bereich der nationalen Sicherheit geschaffen, um Beschwerden von Personen in der EU und im EWR zu bearbeiten. In diesen Beschwerden geht es um den Vorwurf des unrechtmäßigen Zugriffs auf und der Nutzung von personenbezogenen Daten durch US-Nachrichtendienste, die zuvor aus der EU und dem EWR in die USA übermittelt wurden. Dieses Beschwerdeverfahren gilt unabhängig von dem Rechtsgrund aus Kapitel V der Datenschutzgrundverordnung, auf den die Übermittlung der personenbezogenen Daten in die USA gestützt wird (d. h. Angemessenheitsbeschluss, Standarddatenschutzklauseln oder Vertragsklauseln4, verbindliche Unternehmensregelungen, Verhaltenskodizes, Zertifizierungsmechanismen, Ausnahmen). Diese Beschwerde gilt jedoch nur für solche personenbezogenen Daten, die nach dem 10. Juli 2023 übermittelt wurden. Informationen über die Möglichkeit, sich über die Einhaltung der Grundsätze des Datenschutzrahmens EU-USA durch ein US-Unternehmen zu beschweren, können hier abgerufen werden.

Wie können Sie eine Beschwerde einreichen?

Beschwerden sind an die nationalen EU/EWR-Datenschutzbehörden zu richten. Eine Liste aller Datenschutzbehörden der EU/EWR-Mitgliedstaaten finden Sie hier.Das EU-Beschwerdeformular, das für die Einreichung von Beschwerden von Personen aus der EU/ dem EWR erstellt wurde, finden Sie hier.

Wie wird die Datenschutzbehörde die Beschwerde bearbeiten?

Die nationalen Datenschutzbehörden der EU/EWR-Mitgliedstaaten überprüfen die Identität der einzelnen Beschwerdeführer und Beschwerdeführerinnen8 sowie, ob die Beschwerde vollständig ist und die im US-Recht festgelegten Bedingungen erfüllt.

Im Einzelnen wird die Datenschutzbehörde Folgendes prüfen:

• die Identität des Beschwerdeführers/der Beschwerdeführerin und dass er/sie nur im eigenen Namen und nicht als Vertreter/in einer staatlichen, nichtstaatlichen oder zwischenstaatlichen Organisation handelt;
• dass der Beschwerdeführer/die Beschwerdeführerin geltend macht, dass ein oder mehrere US-Gesetze verletzt wären, sollten die personenbezogenen Daten von den US-Nachrichtendiensten unrechtmäßig abgerufen worden sein, nachdem sie aus der EU/dem EWR in die USA übermittelt wurden;
• dass die Beschwerde in schriftlicher Form (auch per E-Mail) alle sachdienlichen Informationen enthält (die nicht belegenmüssen, dass die Daten des Beschwerdeführers/der Beschwerdeführerin tatsächlich Gegenstand von US-Fernmeldeüberwachungstätigkeiten waren):
• alle Informationen, die die Grundlage für die Beschwerde bilden, einschließlich der Details des Online-Kontos oder der Übermittlung personenbezogener Daten, von denen angenommen wird, dass auf sie zugegriffen wurde;
• die Art des begehrten Rechtsschutzes;
• die konkreten Mittel, mit denen personenbezogene Daten der Beschwerdeführer oder über die Beschwerdeführer indie USA übermittelt worden sein sollen;
• welche US-Regierungseinrichtung oder Stellen am Zugriff auf die personenbezogenen Daten des Beschwerdefüh-rers oder über den Beschwerdeführer beteiligt sein sollen (sofern bekannt);
• und alle weiteren von dem Beschwerdeführer/der Beschwerdeführerin zur Abhilfe ergriffenen Maßnahmen und dieAntwort, die er/sie daraufhin ggf. erhalten hat;
• dass die Beschwerde Daten des Beschwerdeführers/der Beschwerdeführerin betrifft, die nach dem 10. Juli 2023 indie USA übermittelt wurden;
• dass die Beschwerde nicht leichtfertig, missbräuchlich oder wider Treu und Glauben gestellt wurde.

Nach dieser Überprüfung, und wenn die Beschwerde als vollständig erachtet wurde, übermittelt die Datenschutzbehörde sie in verschlüsselter Form an das Sekretariat des Europäischen Datenschutzausschusses (im Folgenden „EDSA-Sekretariat“). Letzteres wird sie dann verschlüsselt an die für die Bearbeitung12 der Beschwerde zuständige US-Behörde übermitteln, nämlich an den Civil Liberties Protection Officer (CLPO) des ODNI.13 Der CLPO ist eine Art Datenschutzbeauftragter beim Direktor der nationalen Nachrichtendienste.

Welche Rolle spielt der CLPO?

Der CLPO ist für die Untersuchung der Beschwerde zuständig, um festzustellen, ob die in der E.O. 14086 oder anderen anwendbaren US-Gesetzen vorgesehenen Datenschutzgarantien verletzt wurden, und, wenn ja, um die angemessenen verbindlichen Abhilfemaßnahmen zu bestimmen.Nach der Prüfung wird der CLPO der Datenschutzbehörde über das EDSA-Sekretariat zeitnah antworten. In dieser Antwort wird angegeben, dass:

1. bei der Überprüfung entweder keine Verstöße festgestellt wurden, oder dass der CLPO eine Entscheidung erlassen hat, die eine angemessene Abhilfe vorsieht. Diese standardisierte Antwort lautet im Englischen wie folgt: “The review either did not identify any covered violations or the Civil Liberties Protection officer of the Office of the Director of National Intelligence issued a determination requiring appropriate remediation”. Die Antwort wird also weder bestätigen noch verneinen, ob der Beschwerdeführer/die Beschwerdeführerin Ziel von Überwachungsmaßnahmen war, noch wird sie etwaige konkrete Abhilfemaßnahmen benennen;

2. der Beschwerdeführer/die Beschwerdeführerin oder ein US-Nachrichtendienst die Überprüfung der Entscheidung desCLPO durch das Datenschutzkontrollgericht, das sog. das Data Protection Review Court (DPRC) beantragen kann; und

3. dass in diesem Fall, d.h. wenn eine solche Überprüfung durch das DPRC beantragt wird, das DPRC einen Sonderanwalt („Special Advocate“) ernennt, der die Interessen des Beschwerdeführers/der Beschwerdeführerin in der Angelegenheit vertritt.

Die Entscheidung des CLPO ist für die US-Nachrichtendienste bindend.

Der CLPO übermittelt seine Antwort an das EDSA-Sekretariat in einem verschlüsselten Format, das es dann ebenfalls in verschlüsselter Form an die nationale Datenschutzbehörde, die die Beschwerde ursprünglich erhalten hat, übermittelt. DieDatenschutzbehörde informiert den Beschwerdeführer wiederum über die Antwort des CLPO (einschließlich einer Übersetzung aus dem Englischen, wenn und soweit erforderlich).

Wie können Sie die Entscheidung des CLPO überprüfen lassen?

Beschwerdeführer haben die Möglichkeit, sich innerhalb von 60 Tagen nach Erhalt der Benachrichtigung der nationalen Datenschutzbehörde über die Antwort des CLPO beim Data Protection Review Court gegen die Entscheidung des CLPO zuwenden und deren Überprüfung zu beantragen. Hierfür kann der Beschwerdeführer innerhalb von 60 Tagen einen Antrag bei der nationalen Datenschutzbehörde stellen. Das DPRC kann solche Anträge von Personen aus der EU/dem EWR untersuchen, einschließlich der Einholung relevanter Informationen von US-Nachrichtendiensten, und kann verbindliche Abhilfeentscheidungen treffen. 

Dieses Überprüfungsverfahren folgt einem ähnlichen Weg wie die ursprüngliche Beschwerde: Die Datenschutzbehörde übermittelt den Antrag auf Überprüfung in einem verschlüsselten Format an das EDSA-Sekretariat, den es wiederum in verschlüsselter Form an das U.S. Department of Justice’s Office of Privacy and Civil Liberties („OPCL“), d.h. an das Datenschutzbüro des US-Justizministeriums übermittelt, das das DPRC bei der Überprüfung organisatorisch unterstützt.

Insbesondere überprüft das DPRC die vom CLPO getroffenen Feststellungen – sowohl zu der Frage, ob ein Verstoß gegen geltendes US-Recht vorliegt als auch hinsichtlich der angemessenen Abhilfe. Dabei stützt es sich mindestens auf die Unterlagen der CLPO-Untersuchung sowie alle Informationen und Eingaben des Beschwerdeführers/der Beschwerdeführerin, des Sonderanwalts oder eines US-Nachrichtendienstes.21 Das DPRC hat Zugriff auf alle für die Durchführung einer Überprüfung erforderlichen Informationen, die es über den CLPO erhalten kann (z. B. kann es den CLPO auffordern, seine Unterlagen um zusätzliche Informationen oder Sachverhaltsfeststellungen zu ergänzen, wenn dies für die Durchführung der Überprüfung erforderlich ist). Der Sonderanwalt hat ebenfalls Zugriff auf alle Informationen, die er benötigt, um das DPRC im Rahmen seiner Aufgaben zu unterstützen und die Interessen des Beschwerdeführers/der Beschwerdeführerin zu vertreten und sicherzustellen, dass das DPRC über alle relevanten Fragen und Gesetze gut informiert ist.

Nach Abschluss der Überprüfung kann das DPRC

1. entscheiden, dass es keine Beweise dafür gibt, dass die personenbezogenen Daten des Beschwerdeführers/der Beschwerdeführerin Gegenstand von Fernmeldeüberwachungsmaßnahmen waren;

2. entscheiden, dass die Feststellungen des CLPO rechtmäßig waren und durch stichhaltige Beweise gestützt wurden; oder

3. seine eigenen Feststellungen treffen, wenn es mit den Feststellungen des CLPO nicht übereinstimmt – sei es zu der Frage, ob ein Verstoß gegen geltendes US-Recht vorliegt oder welche Abhilfemaßnahme zu ergreifen ist.

Die Entscheidung des DPRC ist hinsichtlich der bei ihm anhängigen Beschwerde bindend und endgültig. In Fällen, in denen die Überprüfung durch einen Antrag des Beschwerdeführers ausgelöst wurde25, wird der Beschwerdeführer über die Entscheidung des DPRC unterrichtet. Sobald das DPRC seine Überprüfung abgeschlossen hat, übermittelt das DPRC dem Beschwerdeführer eine standardisierte Erklärung, aus der hervorgeht, dass das DPRC seine Überprüfung abgeschlossen hat und dass beider Überprüfung entweder keine Verstöße festgestellt wurden oder eine Entscheidung getroffen wurde, die eine angemessene Abhilfemaßnahme vorsieht. Im Englischen heißt es: „The review either did not identify any covered violations or the Data Protection Review Court issued a determination requiring appropriate remediation“. Das DPRC übermittelt diese Erklärung in verschlüsselter Form an das EDSA-Sekretariat, das sie wiederum in verschlüsselter Form an die Datenschutzbehörde übermittelt. Die Datenschutzbehörde teilt dem Beschwerdeführer die Erklärung des DPRC mit (einschließlich einer Übersetzung aus dem Englischen, wenn und soweit erforderlich). Diese Erklärung wird weder bestätigen noch verneinen, ob der Beschwerdeführer/die Beschwerdeführerin Ziel von Überwachungsmaßnahmen war, noch wird sie etwaige konkrete Abhilfemaßnahmen benennen. Jede Entscheidung des DPRC wird auch dem CLPO übermittelt.

Welche Rolle spielt das US-Handelsministerium in Bezug auf freigegebene Informationen?

Das US-Handelsministerium wird sich regelmäßig mit den zuständigen Stellen der US-Nachrichtendienste in Verbindung setzen, um festzustellen, ob Informationen über die Überprüfung einer Beschwerde durch den CLPO oder das DPRC freigegeben wurden und damit nicht mehr geheimhaltungsbedürftig sind. Wenn dem US-Handelsministerium mitgeteilt wird, dass solche Informationen freigegeben wurden, teilt es dies dem Beschwerdeführer über das EDSA-Sekretariat mit, das wiederum die nationale Datenschutzbehörde darüber unterrichtet, dass der Beschwerdeführer/die Beschwerdeführern Zugang zu Informationen über die Überprüfung der Beschwerde durch den CLPO oder das DPRC nach geltendem US-Recht haben könnte. Ein Gesetz, nachdem Zugang zu freigegebenen Informationen beantragt werden kann, ist der US Freedom of Information Act (FOIA). Der Beschwerdeführer kann eine FOIA-Anfrage direkt beim ODNI, dem zuständigen US-Nachrichtendienst oder beim US-Justizministerium (d. h. ohne Umweg über die Datenschutzbehörde und das EDSA-Sekretariat) einreichen. Hinweise zur Einreichung von FOIA-Anfragen finden Sie auf den öffentlichen Webseiten des ODNI30, der US-Nachrichtendienste und des DPRC. 

Es wird darauf hingewiesen, dass Beschwerden von Personen in der EU/im EWR, in denen Verstöße gegen US-Gesetze in Bezug auf Fernmeldeüberwachungsaktivitäten geltend gemacht werden, die sich auf aus der EU/dem EWR in die USA übermittelte personenbezogene Daten beziehen, wie oben beschrieben nur beim CLPO und nicht bei den für Anfragen nach dem FOIA zuständigen Behörden eingereicht werden können.